DORA Kapitel IV / Kalender

Testkalender-Generator.

Automatische Generierung des mehrjährigen Resilienz-Testkalenders auf Basis der Asset-Priorität, Betriebsart und regulatorischen Anforderungen.

Management-Zusammenfassung

Der Testkalender wird automatisch aus Asset-Priorität, Betriebsart und regulatorischen Anforderungen generiert.
Vier Prioritätsstufen (P1–P4) mit festen Testzyklen: jährlich, 2-jährlich, 3-jährlich oder eventbasiert.
Die Grundschutz-Validierung (GSV) wird quartalsweise für kwF-relevante Assets mit technischer Exposition durchgeführt.
Eventbasierte Trigger (Major Change, Incident, Risikoänderung) lösen außerplanmäßige Tests aus.

Wie der Kalender generiert wird

Der Testkalender wird automatisch auf Basis folgender Eingabeparameter für jedes IKT-Asset im Testinventar generiert:

Schritt 1

Asset-Priorität

Score-Berechnung aus Schutzbedarf, kwF-Status, Expositionsfaktor und weiteren Faktoren. Ergibt Priorität P1–P4.

Schritt 2

Zykluszuordnung

Jeder Priorität ist ein fester Testzyklus zugeordnet: jährlich (P1), 2-jährlich (P2), 3-jährlich (P3) oder eventbasiert (P4).

Schritt 3

Betriebsart-Prüfung

Die Betriebsart (intern, gemischt, ausgelagert) bestimmt, ob Tests selbst durchgeführt oder Nachweise angefordert werden.

Schritt 4

Kalendererstellung

Verdichtung aller Asset-Zyklen in einen mehrjährigen, rollierenden Testkalender mit Quartals- und Jahresansicht.

Prioritätsbasierte Zykluslogik

Die Testpriorität eines IKT-Assets bestimmt den erforderlichen Testzyklus und den Umfang des Testpakets.

Priorität 1

Höchste Testpriorität – jährliches Testpaket erforderlich

Score >= 100

Jährliches Testpaket: Penetrationstest oder Adversarial Simulation (risikobasiert), Schwachstellenscan, Gap Analysis, Management Review.

Priorität 2

Erhöhte Testpriorität – 2-Jahres-Testpaket erforderlich

Score >= 60 und < 100

Alle 2 Jahre Testpaket: Penetrationstest oder Schwachstellenscan, Gap Analysis oder Fragebogen/Software Scan. Bei Dienstleisterbetrieb: Nachweisanforderung.

Priorität 3

Standard-Testpriorität – 3-Jahres-Test erforderlich

Score >= 20 und < 60

3-Jahres-Regel: Mindestens Schwachstellenscan oder Gap Analysis oder Self Assessment.

Priorität 4

Niedrige Testpriorität – keine regelmäßige Testaktivität erforderlich

Score < 20 oder Ausnahmeregelung

Keine regelmäßige Testaktivität erforderlich. Eventbasiert bei Major Change, IKT-Vorfall oder Risikoänderung.

GSV-Fälligkeiten

Die Grundschutz-Validierung (GSV) wird für Assets mit kwF-Unterstützung und relevanter technischer Exposition quartalsweise durchgeführt.

Jahr	Q1	Q2	Q3	Q4	Anmerkung
2026	fällig	—	fällig	—	Nachweisanforderung an Fachbereich / Dienstleister
2027	fällig	—	fällig	—	Nachweisanforderung an Fachbereich / Dienstleister
2028	fällig	—	fällig	—	Nachweisanforderung an Fachbereich / Dienstleister
2029	fällig	—	fällig	—	Nachweisanforderung an Fachbereich / Dienstleister
2030	fällig	—	fällig	—	Nachweisanforderung an Fachbereich / Dienstleister
2031	fällig	—	fällig	—	Nachweisanforderung an Fachbereich / Dienstleister

Hinweis: Die GSV-Fälligkeit gilt für Assets mit GSV-001-Regel (kwF-Unterstützung ja UND relevante technische Exposition). Quartalsweise Nachweisanforderung über durchgeführte wöchentliche Schwachstellenscans sowie Status kritischer Schwachstellen. Bei ausgelagertem Betrieb: Dienstleisterbericht anfordern.

Eventbasierte Trigger

Neben den zyklischen Tests können bestimmte Ereignisse außerplanmäßige Tests auslösen.

EVT-001 Major Change

Wesentliche Änderung an Architektur, Technologie oder Betriebsmodell

Risikobasierte Testentscheidung durch Resilience Board innerhalb von 30 Tagen

EVT-002 IKT-Vorfall

Relevanter Sicherheitsvorfall mit Bezug zum Asset

Ad-hoc Test und Retest-Review der bestehenden Testabdeckung

EVT-003 Kritischer Finding

Offener Finding mit hohem oder kritischem Risiko

Nachtest nach Remediation innerhalb von 90 Tagen

EVT-004 Neuer kritischer Dienstleister

Aufnahme eines neuen Dienstleisters mit kwF-Unterstützung

Einholung von Dienstleister-Nachweisen innerhalb von 90 Tagen

EVT-005 Neue kwF-Unterstützung

Asset erhält neue Klassifizierung als kritische oder wichtige Funktion

Vollständige Testneubewertung innerhalb von 60 Tagen

EVT-006 Regulatory Radar Signal

Aufsichtliche Ankündigung, Prüfungsfeststellung oder neue gesetzliche Anforderung

Risikobewertung und Testanpassung durch Resilience Board

EVT-007 Offene Findings

Kritische oder hohe Findings aus vorherigem Test

Nachtest nach Remediation innerhalb von 90 Tagen; Resilience Board über Status informieren

EVT-008 Dienstleister-Nachweis überfällig

Ausgelagertes Asset: fälliger Nachweis wurde nicht fristgerecht eingereicht

Vertraglich festgelegte Nachweispflicht durchsetzen; Eskalation an Resilience Board; Retest-Deadline setzen

EVT-009 Kritisches Risikoprofil

Aktuelles Risikoprofil des Assets wurde auf kritisch eingestuft

Sofortige Risikobewertung; Testneubewertung innerhalb von 14 Tagen; Resilience Board informieren

Betriebsmodell-Effekte auf den Kalender

Die Betriebsart eines Assets beeinflusst, ob Tests terminiert oder Nachweise angefordert werden müssen.

Vollständig eigener Betrieb

Interne Durchführung möglich, interne Evidence, interne Findings, interne Retests

Evidence-Typ internal

Ausführung internal

Kalender: Testtermine intern planen

Teilweise ausgelagerter Betrieb

Kombination aus interner Durchführung und Dienstleister-Nachweis. Dienstleisterberichte erforderlich. Verantwortlichkeitsmatrix erforderlich.

Evidence-Typ mixed

Ausführung mixed

Kalender: Testtermine + Nachweisdeadlines

Vollständig ausgelagerter Betrieb

Nachweisanforderung an Dienstleister. Bewertung der eingereichten Nachweise und Maßnahmenverfolgung durch Institut. Keine eigenen Tests.

Evidence-Typ provider

Ausführung external

Kalender: Nachweisdeadlines an Dienstleister

Musterkalender 2026–2031

Statische Visualisierung der Testzyklen über einen 6-Jahres-Zeitraum. Die farbigen Markierungen zeigen an, in welchen Jahren ein Testpaket für die jeweilige Prioritätsstufe fällig wird.

Priorität	Zyklus	2026	2027	2028	2029	2030	2031
P1	Alle 1 Jahre	Test fällig	Test fällig	Test fällig	Test fällig	Test fällig	Test fällig
P2	Alle 2 Jahre	Test fällig	—	Test fällig	—	Test fällig	—
P3	Alle 3 Jahre	Test fällig	—	—	Test fällig	—	—
P4	Eventbasiert	—	—	—	—	—	—

P1 — Jährlich

Jedes Jahr Testpaket: Pentest, Scan, Gap Analysis, Management Review

P2 — 2-Jahres-Zyklus

Alle 2 Jahre: Pentest oder Scan + Gap Analysis

P3 — 3-Jahres-Zyklus

Alle 3 Jahre: Schwachstellenscan oder Gap Analysis

P4 — Eventbasiert

Keine reguläre Testpflicht, nur bei Major Change oder Vorfall

Hinweise zur Kalendernutzung

Der Kalender wird automatisch aus dem Testinventar und den Asset-Prioritäten generiert.
Bei Änderung der Prioritätseinstufung (z. B. durch Incident oder kwF-Neubewertung) wird der Kalender dynamisch angepasst.
Der Kalender berücksichtigt Betriebsart-Wechsel und passt Testtermine bzw. Nachweisdeadlines entsprechend an.
Das Resilience Board genehmigt den jährlichen Testplan und entscheidet über Abweichungen.

Diese Inhalte sind Umsetzungshilfen und ersetzen keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung. Für verbindliche Anforderungen sind die offiziellen Quellen maßgeblich.

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-16

BaFin: DORA — Digitale operationelle Resilienz Stand: Abruf 2026-05-16
EBA: DORA Regulatory Technical Standards Stand: Abruf 2026-05-16
DORA Verordnung (EU) 2022/2554 — Kapitel IV Stand: Abruf 2026-05-16

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.